Device Info
代码语言:javascript复制H3C S5560S-28S-EIRG-WALL 1600-M6600网络架构
两台H3C S5560S-28S-EI 交换机作为交换核心采用IRF虚拟化技术,并使用BFD Mad 防止两台设备分裂。核心交换机通过vlan和vpn-instanse 实现用户二层和三层隔离,核心交换机上联两台RG-WALL 1600-M6600防火墙采用HA实现高可用,上联口使用端口聚合和Trunk 进行链路捆绑。防火墙使用子接口和核心交换机实现多个三层互联,通过创建虚拟防火墙,将不同的子接口划分到不同的虚拟防火墙实现三层隔离。同样,防火墙上联为多运营商出口汇聚设备,通过聚合端口和子接口实现。
IRF config
端口配置
irf 虚拟化使用设备千兆光电复用接口,使用光口时需要对接口进行配置,默认为电口。
代码语言:javascript复制interface GigabitEthernet1/0/22 combo enable fiberinterface GigabitEthernet1/0/24 combo enable fiber----------------------------------------interface GigabitEthernet2/0/22 combo enable fiberinterface GigabitEthernet2/0/24 combo enable fiberSW1
代码语言:javascript复制#配置IRF 端口组需要先关闭端口interface range GigabitEthernet 1/0/22 GigabitEthernet 1/0/24 shutdown#配置IRF 域irf domain 101#配置优先级为32,越大越优先irf member 1 priority 32#将物理口将入IRF组irf-port 1/1 port group interface GigabitEthernet1/0/22irf-port 1/2 port group interface GigabitEthernet1/0/24#开启物理接口interface range GigabitEthernet 1/0/22 GigabitEthernet 1/0/24 undo shutdown#激活IRF配置irf-port-configuration activeSW2
代码语言:javascript复制#配置IRF 端口组需要先关闭端口interface range GigabitEthernet 2/0/22 GigabitEthernet 2/0/24 shutdown#配置IRF 域irf domain 101#配置优先级为1,越大越优先irf member 1 priority 1#将物理口将入IRF组irf-port 2/1 port group interface GigabitEthernet1/0/24irf-port 2/2 port group interface GigabitEthernet1/0/22#开启物理接口interface range GigabitEthernet 2/0/22 GigabitEthernet 2/0/24 undo shutdown#保存配置save#激活IRF配置irf-port-configuration active注意:优先级IRF优先级低的设备会在激活IRF配置后进行重启,所以在激活配置前进行save!
查看IRF状态
代码语言:javascript复制[SW1]display irf MemberID Role Priority CPU-Mac Description * 1 Master 32 00e0-fc0f-8c02 --- 2 Standby 1 00e0-fc0f-8c03 ----------------------------------------------------- * indicates the device is the master. indicates the device through which the user logs in.
The bridge MAC of the IRF is: 38ad-beb6-75d8 Auto upgrade : yes Mac persistent : 6 min Domain ID : 101 ---------------------------------------------------------------------- [SW1]display irf link Member 1 IRF Port Interface Status 1 GigabitEthernet1/0/22 UP 2 GigabitEthernet1/0/24 UP Member 2 IRF Port Interface Status 1 GigabitEthernet2/0/24 UP 2 GigabitEthernet2/0/22 UPMAD 检测
为了防止万一IRF链路故障导致IRF分裂、网络中存在两个配置冲突的IRF,启用MAD检测功能,采用BFD MAD检测方式来监测IRF的状态。
代码语言:javascript复制#创建vlan101vlan 101#配置VLAN接口101,并配置MAD IP地址。interface Vlan-interface101 mad bfd enable mad ip address 10.1.1.1 255.255.255.0 member 1 mad ip address 10.1.1.2 255.255.255.0 member 2#BFD MAD和生成树功能互斥,对应接口关闭生成树协议[SW1]int range GigabitEthernet 1/0/10 GigabitEthernet 2/0/10 [SW1-if-range]undo stp enable #将SW1(成员编号为1)上的端口1/0/10和SW2(成员编号为2)上的端口2/0/10加入VLAN中。vlan 101[SW1-vlan101]port GigabitEthernet 1/0/10 GigabitEthernet 2/0/10注意:设备IRF正常情况下BFD session 为DOWN,当设备发生分裂后BFD session 为UP ,备设备所有端口进入adm down 状态。
代码语言:javascript复制[SW1-vlan101]display bfd session Total Session Num: 1 Up Session Num: 0 Init Mode: Active
IPv4 Session Working Under Ctrl Mode:
LD/RD SourceAddr DestAddr State Holdtime Interface 97/0 10.1.1.1 10.1.1.2 Down / Vlan101端口聚合
交换机配置
代码语言:javascript复制interface Bridge-Aggregation10 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 4094 #默认采用静态聚合方式interface GigabitEthernet1/0/13 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 4094 port link-aggregation group 10 interface GigabitEthernet2/0/13 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 4094 port link-aggregation group 10防火墙配置
创建虚拟防火墙 bhld
添加聚合口
添加Aggregation 10 聚合口物理成员
创建Agg10.1002 子接口 绑定虚拟防火墙bhld
核心交换机查看聚合端口状态
版本升级
背景
在新的系统架构中实现需进行多用户网络的二层和三层的隔离。二层采用vlan,三层则采用vpn-instanse 多实例实现路由隔离。但查看设备发现无法通过命令创建vpn-instanse,然而华三400对过保的设备的设备竟然不提供任何的技术支持,小三牌你可真给力啊 !!!打铁还需自身硬,升级搞起来。。。
当前版本
查看Master和Standby 设备的存储介质Flash剩余空间大小
注意:升级之前查看各成员的存储介质的剩余空间大小,存储介质的剩余空余空余空间应不小于待升级软件包大小的两倍。如果剩余空间不足,可在用户视图下使用delete 命令删除相应设备的无用的文件
使用交换机作为FTP客户端方式下载升级软件包
在用户视图下,执行ftp命令并根据提示输入用户名和密码,设备作为FTP客户端登录到FTP服务器
#设置传输模式为二进制文件传输模式binary#从 FTP服务器get 待升级的软件包get S5560S_EI-CMW710-R6311.ipe
指定Master和Standby的启动软件包 "S5560S_EI-CMW710-R6311.ipe"
代码语言:javascript复制boot-loader file flash:/S5560S_EI-CMW710-R6311.ipe slot 1 mainboot-loader file flash:/S5560S_EI-CMW710-R6311.ipe slot 2 main注意:在irf环境,系统会自动将启动软件包从Master上copy到Standby设备的存储介质的根目录
#保存设备配置防止设备重启造成配置丢失save#在系统视图下,执行reboot命令重启IRF,完成对启动软件包的升级reboot查看升级后的设备版本
创建vpn-instanse实例
代码语言:javascript复制ip vpn-instance bhld route-distinguisher 1001:1 vpn-target 1001:1 import-extcommunity vpn-target 1001:1 export-extcommunityvlan 绑定vpn-instanse 实例
代码语言:javascript复制#业务vlaninterface Vlan-interface10 ip binding vpn-instance bhld ip address 172.16.10.254 255.255.255.0interface Vlan-interface20 ip binding vpn-instance bhld ip address 172.16.20.254 255.255.255.0#互联vlaninterface Vlan-interface1002 ip binding vpn-instance bhld ip address 10.135.121.5 255.255.255.252ping 测试
代码语言:javascript复制[SW1]ping -vpn-instance bhld 10.135.121.6核心交换机ospf 配置
代码语言:javascript复制ospf 1002 router-id 10.135.121.5 vpn-instance bhld area 0.0.0.0 network 10.135.121.4 0.0.0.3 network 172.16.10.0 0.0.0.255 network 172.16.20.0 0.0.0.255防火墙配置ospf
防火墙查看ospf路由表
核心交换机上查看ospf 邻居状态
代码语言:javascript复制[SW1]display ospf peer
OSPF Process 1002 with Router ID 10.135.121.5 Neighbor Brief Information
Area: 0.0.0.0 Router ID Address Pri Dead-Time State Interface 10.135.121.6 10.135.121.6 1 33 Full/BDR Vlan1002核心交换机上查看bhld实例路由表
